Hvad er GDPR?

“Alle mennesker har tre liv: det offentlige, private og hemmelige.” – Gabriel García Márquez

 

EU’s nye persondataforordning (GDPR) træder i kraft den 25. maj 2018 og kommer til at have omfattende konsekvenser for danske virksomheder. Der bliver stillet nye, skærpede krav til jeres behandling af persondata og bøderne bliver højere end nogensinde i tilfælde af, at I ikke lever op til forordningen.

Formålet med GDPR er at skabe et fælles grundlag for behandlingen af data i EU og skabe øget beskyttelse af den registreredes persondata. Denne forordning er et omfattende tiltag og EU har derfor øget bødeniveauet markant. I tilfælde af, at I ikke lever op til den dataansvarlige eller databehandlerens pligter, lyder bøden på 2 % af omsætningen eller 10.000.000 EUR. I kan dog komme op på 4 % af omsætningen eller op til 20.000.000 EUR, hvis i bryder med de grundlæggende principper i forordningen, såsom brud på den registreredes rettigheder, eller hvis i ikke føjer ordrer fra tilsynsmyndighederne.

Disse bøder er en effektiv motivation for at leve op til forordningen og de vil kunne have store konsekvenser for de Europæiske virksomheder. Bødernes størrelse har også medført en øget interesse i persondata, hvilket har skabt endnu en ulempe ved ikke at leve op til forordningen.

Virksomhedens brand og ry er blevet mere udsat på grund af den øgede opmærksomhed, specielt for virksomheder med private kunder. Private kunder generere ofte en hel del data og er mere tilbøjelige til at fokusere på virksomhedens brand. Hvis jeres virksomheden ikke lever op til forordningens krav, kan i risikere at kunderne mister tiltroen til jeres virksomhed og dennes sikkerhed.

Denne bekymring er blevet endnu mere relevant i lyset af de mange hacker angreb som med tiltagende hyppighed kompromittere virksomheder og dermed den persondata de ligger inde med.

GDPR er en sammenlægning af tidligere europæiske datalovgivninger som nu er blevet opdateret og sammenlagt til en samlet europæisk lovgivning. Formålet med denne lovgivning er at sikre de registreredes persondata, samt gøre det nemmere for virksomheder og myndigheder at arbejde på tværs af landegrænser. Det har taget EU flere år at komme frem til netop denne lovgivning, og selvom der er en vis mængde nationalt frirum, vil behandlingen af data i EU fremover være langt mere ensartet.

For nogle virksomheder er det ikke helt tydeligt, hvorvidt de vil blive påvirket af forordningen, og vi vil derfor gerne gøre det klart, at alle europæiske virksomheder hører ind under denne forordning. GDPR dækker alle virksomheder, som enten er lokaliseret i EU, leverer varer eller services til kunder i EU samt virksomheder, som registrerer adfærd på personer i EU.

Der er naturligvis stor forskel på hvor stor en omvæltning forordningen kommer til at være for de individuelle virksomheder. Der er dog ingen tvivl om, at alle virksomheder er nødt til at tage forordningen op til overvejelse og vurdere hvilke ændringer der vil være nødvendige for at leve op til de nye krav.
Forordningen har også givet anledning til at specificere hvad der menes med persondata, og der er blevet tilføjet nogle nye elementer, som ellers tidligere ikke har været inkluderet.

Med persondata menes der ikke kun oplysninger som CPR-nummer, navn, adresse og stilling, men også mere følsomme data såsom race, religion, seksuel orientering, politisk tilhørsforhold og helbredsoplysninger. Forordningen holder sig heller ikke til kun at dække fx kunder, men dækker både, kunder, medarbejdere, partnere, leverandører og lignende. Altså alt data virksomheden ligger inde med der kan bruges til at identificere den omhandlede person.
Nedenfor kan du få et overblik over hvilken data GDPR omhandler.

Mange af de ovenstående persondata var også inkluderet i den tidligere persondatalov, så der er hovedsageligt tale om en tilføjelse af mere sensitive oplysninger, og flere data områder. GDPR lægger sig på mange måder op af den eksisterende persondatalov. Den nye forordning stiller dog nogle meget specifikke nye krav til behandlingen af persondata som I er nødt til at forholde jer til.

Krav til samtykke

Et af hovedområderne i den nye forordning er et øget krav til samtykke. Der skal gives mere eksplicit samtykke til behandlingen af data, som inkludere specifikationerne for hvad denne data må bruges til og af hvem. I forbindelse med dette skærpede fokus på samtykke, skal det også være nemmere at trække sit samtykke tilbage. Forordningen inkluderer derfor også et tiltag om at den registrerede har retten til at blive glemt/slettet. Dette betyder at den registrerede, til hver en tid, skal kunne trække sit samtykke tilbage og bede virksomheden om at slette alt data og alt historik virksomheden ligger inde med om den registrerede.

Dataansvarlig og Data Protection Officer (DPO)

Da det fremover vil være en langt større opgave at holde styr på persondata er der kommet et krav om at virksomheden skal have en dataansvarlig eller en DPO. Det er den dataansvarliges opgave, at dokumentere håndteringen af alt data i virksomheden og være tovholder på virksomhedens løbende arbejde med persondataforordningen.

GDPR dækker mange forskellige områder i virksomheden og det kan være svært at vurdere hvilken eksisterende afdeling der har ansvaret for overholdelse af forordningen. Her kan udpegelsen af en DPO gøre det nemmere for virksomheden at finde en ansvarlig, som kan agere på tværs af de eksisterende afdelinger.

Underrettelse til myndighederne

GDPR handler i høj grad om at sikre de registreredes data i tilfælde af at virksomheden bliver kompromitteret. Man kan dog under alle omstændigheder ikke vide sig helt sikker for ondsindede angreb. GDPR stiller derfor et krav om, at virksomheden skal notificere tilsynsmyndighederne indenfor 72 timer efter at virksomhedens data er blevet kompromitteret. Derudover skal de omhandlede registrerede personer også gøre opmærksomme på at deres data ikke længere er sikret.

Privacy by Design

Mange af forordningens krav ligger op til øget dokumentation og udarbejdelsen af nye processer. Der er dog også et krav om at den øgede datasikkerhed bliver inkorporeret som en del af virksomhedens struktur og systemer. Det vil derfor være nødvendigt at implementere forskellige it-sikkerhedsløsninger som kan understøtte den nye struktur og de nye processer.

Dokumentation

En stor del af forordningen er at man skal kunne dokumentere næsten alt. Virksomheden skal selv kunne dokumentere at de kender til de forskellige krav under GDPR, og lever op til alle kravene. Her er det igen den dataansvarlige eller DPO’en som sørger for at dokumentationen er på plads og kan fremlægges for tilsynsmyndighederne hvis nødvendigt.

Hvorfor er forordningen vigtig for dig?

De før omtalte bøder er naturligvis en rigtig god grund til at leve op til forordningens krav. Bøderne vil kunne blive langt højere end vi tidligere har oplevet og det er ikke kun en engangsfornøjelse hvis ikke virksomheden retter sig efter forordningens krav efter den første bøde.

Bøderne er som sagt ikke den eneste konsekvens af GDPR. Forordningen kan ende med at have både positive og negative konsekvenser for virksomhedens brand og kunderelationer. Hvis virksomheden ikke lever op til forordningens krav vil kunderne hurtigt miste tiltro til virksomheden, særligt i tilfælde af at dataen bliver kompromitteret. Det er vigtigt at huske at det fremover er ulovligt ikke at leve op til forordningen, og det er de færreste kunder der vælger en ulovlig virksomhed frem for deres lovlydige konkurenter.

Hvis din virksomhed derimod lever fuldt op til forordningens krav vil det kunne bruges som en klar konkurrencemæssig fordel at i kan tilbyde jeres kunder optimal sikkerhed og tryghed. Specielt private kunder er ikke særlig tilgivende overfor tillidsbrud, såsom kompromittering af deres personlige data.

Er du klar?

Der er stadig mange virksomheder som ikke har startet deres arbejde med GDPR endnu og for de flestes vedkommende handler det om, at de enten ikke ved hvad GDPR er, ikke tror det omhandler dem eller forventer at det kan klares på kort tid.
GDPR er dog utrolig vigtig at forholde sig til og det er mindst lige så vigtigt at gå i gang med det samme. Det er en længere proces hvis man skal leve helt op til forordningen og det er utrolig vigtigt at finde ud af, hvor i står på nuværende tidspunkt.

Der er 5 grundlæggende faser som i skal igennem for at leve op til forordningen. Hvor lang tid hver fase kommer til at tage, afhænger naturligvis af størrelsen på virksomheden, samt hvor struktureret jeres data og databehandling er på nuværende tidspunkt.
De forskellige faser kan ses i modellen nedenfor.

I tilfælde af at I slet ikke er gået i gang med at arbejde med GDPR, så er det allervigtigste at som sagt at i finder ud af hvor i står på nuværende tidspunkt, således at i efterfølgende kan lave en plan for hvad jeres næste skridt er. På den måde kan i bryde processen ned i nogle mindre, og mere overskuelige projekter som er til at håndtere og som eventuelt kan uddelegeres til forskellige folk i organisationen.

Det kan være udfordrende at finde ud af hvor langt man er i processen og hvad næste skridt i forløbet er. Derfor har vi hos GlobalSequr A/S udviklet et komplet framework, der sikrer, at I kommer hele vejen rundt i virksomheden og får inkluderet alle de vigtige problemstillinger.

Uafhængigt af, hvor I er i processen vil vi altid kunne præsentere jer for nogle mulige løsningsforslag til netop jeres problemstillinger og komme med gode råd til jeres fremadrettede projekt og I er velkommen til at kontakte os for en nærmere drøftelse.